Jak sprawdzić, czy pracownicy przestrzegają zasad ochrony danych osobowych

Agnieszka Stępień

Autor: Agnieszka Stępień

Dodano: 24 marca 2017
Dokument archiwalny
Jak sprawdzić, czy pracownicy przestrzegają zasad ochrony danych osobowych

Jednym z obowiązków administratora bezpieczeństwa informacji (ABI) jest nadzorowanie opracowania i aktualizowania dokumentacji ochrony danych osobowych oraz przestrzegania zasad w niej określonych. ABI może zrealizować ten obowiązek, m.in. prowadząc planowe sprawdzenia zgodności przetwarzania danych osobowych z przepisami.

Zapewnienie prawidłowego przebiegu procesu przetwarzania danych osobowych wymaga zaangażowania nie tylko administratora bezpieczeństwa informacji, ale także poszczególnych pracowników. Wymaga to stworzenia odpowiednich procedur, dopiero ich stosowanie i przestrzeganie zapewni właściwą ochronę danych osobowych.

Jedną z form nadzorowania procesu przetwarzania danych osobowych przez osoby upoważnione są sprawdzenia realizowane przez ABI zgodnie z przygotowywanym planem sprawdzenia. W trakcie przeprowadzanych czynności ABI ma dostęp nie tylko do wszystkich urządzeń oraz nośników służących do przetwarzania danych osobowych, ale może także odbierać ustne wyjaśnienia od osób zaangażowanych w proces przetwarzania danych osobowych. Przy ocenianiu właściwego poziomu wiedzy pracowników, pomocne może okazać się również weryfikowanie dokumentów przygotowywanych przez osoby zaangażowane w proces przetwarzania danych osobowych. W trakcie sprawdzenia administrator bezpieczeństwa informacji ma również możliwość bezpośredniej rozmowy z pracownikami, co pozwala mu zapoznać się ze stanem wiedzy pracowników oraz stosowanymi procedurami.

Przeprowadzanie planowych sprawdzeń ma na celu stałe nadzorowanie przestrzegania zasad dotyczących ochrony danych osobowych w jednostce organizacyjnej. Dają one ako administratorowi bezpieczeństwa informacji możliwość sprawdzania i weryfikowania na bieżąco wiedzy upoważnionych osób.

Uwaga

Zgodnie z obowiązującymi przepisami rozporządzenia ministra administracji i cyfryzacji z 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji plan sprawdzeń należy opracować na okres nie krótszy niż kwartał i nie dłuższy niż rok.

Z przeprowadzonego sprawdzenia ABI przygotowuje sprawozdanie. Jego zakres powinien pokrywać się z art. 36c ustawy o ochronie danych osobowych. Wśród elementów, które powinno zawierać sprawozdanie, znajduje się m.in. opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje, które mają istotne znaczenie przy ocenianiu zgodności przetwarzania danych z przepisami o ochronie danych osobowych.

Jak sprawdzić przestrzeganie zasad – nie tylko sprawdzenia planowe

Drugim rodzajem sprawdzeń przygotowanych przez administratora bezpieczeństwa informacji są sprawdzenia doraźne. Trzeba je przeprowadzić w sytuacji, gdy ABI dowie się o naruszeniu ochrony danych osobowych lub będzie miał uzasadnione podejrzenie, że takie naruszenie mogło wystąpić.

Przykład

Jeżeli do incydentu ochrony danych dojdzie z powodu braku wiedzy pracownika na temat zasad ochrony danych osobowych w podmiocie, administrator bezpieczeństwa informacji powinien taką informację zamieścić w sprawozdaniu ze sprawdzenia.

O każdej wykrytej nieprawidłowości ABI musi poinformować administratora danych, wskazując personalnie osobę, która dokonała naruszenia. Co więcej, jeżeli podczas sprawdzenia ABI uzna, że pracownik nie przestrzega zasad określonych w dokumentacji przetwarzania danych osobowych, musi pouczyć ją o prawidłowym sposobie przetwarzania danych osobowych.

Wiedzę przekazuj podczas szkoleń

Skuteczną metodą weryfikowania wiedzy pracowników są okresowe szkolenia przeprowadzane przez administratora bezpieczeństwa informacji. Mają one na celu nie tylko podnoszenie wiedzy pracowników z zakresu ochrony danych osobowych, ale także jej weryfikowanie. Warto, by podczas szkoleń pracownicy mieli możliwość przećwiczenia konkretnych przypadków, tak by wiedzieli, w jaki sposób zachować się np. w przypadku wystąpienia incydentu ochrony danych osobowych. Aby jednak przepis ten spełniał swą funkcję administrator bezpieczeństwa informacji musi dysponować aktualną wiedzą oraz dbać o samorozwój. W związku z tym tak ważne jest, by ABI sam uczestniczył w kursach i szkoleniach.

Ważne jest także, by szkolenia były dostosowane do potrzeb i charakteru pracy pracowników. Inne zagadnienia będą bowiem interesować pracowników kadr, a inne działu IT. Ustawodawca nie określił, jak często powinny odbywać się szkolenia. W każdej jednostce organizacyjnej częstotliwość ta będzie różna w zależności od stanu wiedzy pracowników, ale także wielkości jednostki organizacyjnej oraz charakteru prowadzonej działalności.

Ważna jest bieżąca praca administratora bezpieczeństwa informacji

Najbardziej skuteczną metodą nadzorowania prawidłowości procesu przetwarzania danych osobowych jest bieżąca i systematyczna praca administratora bezpieczeństwa informacji, a nie działanie wyłącznie, wówczas gdy istnieje realne zagrożenie naruszenia przepisów ochrony danych osobowych. W związku z tym pracownicy powinni mieć możliwość stałej współpracy z administratorem bezpieczeństwa informacji zwłaszcza, w sytuacjach gdy będą mieli wątpliwość, czy nie narażają jednostki organizacyjnej na ryzyko wystąpienia incydentu.

Właściwe wypełnianie obowiązków nałożonych na administratora bezpieczeństwa informacji jest możliwe wyłącznie wówczas, gdy będzie miał zapewnione odpowiednie do tego warunki. W związku z tym tak ważne jest, aby administrator danych zapewnił mu niezależność podczas wykonywanych zadań.

Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922),
  • rozporządzenie ministra administracji i cyfryzacji z 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r. poz. 745).
Agnieszka Stępień

Autor: Agnieszka Stępień

dr nauk prawnych, nauczyciel akademicki z zakresu ochrony danych osobowych, adiunkt w Instytucie Bezpieczeństwa w Społecznej Akademii Nauk, współzałożycielka Instytutu Ochrony Danych Osobowych

Nasi partnerzy i zdobyte nagrody » 


Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel